漏洞信息详情
Mozilla/Firefox浏览器URI拖放操作跨域脚本漏洞
- CNNVD编号:CNNVD-200409-032
- 危害等级: 中危
- CVE编号: CVE-2004-0905
- 漏洞类型: 访问验证错误
- 发布时间: 2004-09-14
- 威胁类型: 本地
- 更新时间: 2009-04-03
- 厂 商: mozilla
- 漏洞来源: Jesse Ruderman※ jr...
漏洞简介
Mozilla/Firefox是开放源代码WEB浏览器。 Mozilla/Firefox对URI连接中的拖放处理存在问题,远程攻击者可以利用这个漏洞进行跨域脚本执行攻击。 Mozilla web浏览器允许连接和对象从一个窗口拖放到另一个窗口并没有正确的进行同源策略安全检查,用户可以构建恶意链接,诱使用户处理,可导致恶意程序在其他窗口或域中执行任意程序。
漏洞公告
厂商补丁: Mozilla ------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Mozilla Upgrade Firefox 0.10
http://ftp.mozilla.org/pub/mozilla.org/Firefox/releases/0.10/
Mozilla Upgrade Mozilla 1.7.3
http://www.mozilla.org/releases/
参考网址
来源:US-CERT Technical Alert: TA04-261A 名称: TA04-261A 链接:http://www.us-cert.gov/cas/techalerts/TA04-261A.HTML 来源:US-CERT Vulnerability Note: VU#651928 名称: VU#651928 链接:http://www.kb.cert.org/vuls/id/651928 来源: XF 名称: mozilla-netscape-sameorigin-bypass(17374) 链接:http://xforce.iss.net/xforce/xfdb/17374 来源: BID 名称: 11177 链接:http://www.securityfocus.com/bid/11177 来源: SUSE 名称: SUSE-SA:2004:036 链接:http://www.novell.com/linux/security/advisories/2004_36_mozilla.HTML 来源: GENTOO 名称: GLSA-200409-26 链接:http://security.gentoo.org/glsa/glsa-200409-26.xml 来源: bugzilla.mozilla.org 链接:http://bugzilla.mozilla.org/show_bug.cgi?id=250862 来源: www.mozilla.org 链接:http://www.mozilla.org/projects/security/known-vulnerabilities.HTML#mozilla1.7.3 来源: OVAL 名称: oval:org.mitre.oval:def:10378 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:10378 来源: FEDORA 名称: FLSA:2089 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=109900315219363&w=2 来源: HP 名称: SSRT4826 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=109698896104418&w=2
受影响实体
- Mozilla Mozilla:1.7.1
- Mozilla Mozilla:1.7.2
补丁
暂无
评论